Especial publicado originalmente a 28 de janeiro de 2015 e foi republicado a 12 de maio de 2017 devido ao ataque informático a nível internacional.
Privacidade. Um dicionário da Porto Editora dá-lhe quatro definições: ambiente afastado da vida pública ou social; ambiente de recato e sossego, intimidade; vida íntima e, por último, “seio da família”. Internet. O Priberam define-a como a “rede informática largamente utilizada para interligar computadores através de modem, à qual pode aceder qualquer tipo de utilizador, e que possibilita o acesso a toda a espécie de informação”. Palavras antagónicas? O Dia Europeu da Proteção de Dados foi criado para mostrar que não. Mas, como é viver entre estes dois mundos?
Aos 39 anos, Ana Maurício ainda tenta justificar-se a cada vez que lhe perguntam porque não tem conta na rede social Facebook. Se as perguntas se multiplicam, ela remata com um “vou ver isso, então”. A resposta politicamente correta. Na verdade, ela não quer ver “disso”. Ao Observador, a consultora informática numa empresa de telecomunicações explica porquê.
Mais do que não pretender expor a sua vida privada, a sua família e os seus amigos, Ana já leu as condições de utilização do Facebook e sabe que todo o conteúdo publicado, “fotografias, dados, vídeos, informações”, passa a ser propriedade da empresa. “Isso permite a utilização dos dados para outros fins, nomeadamente negociá-los com outras empresas”, revela.
Exemplo disso são os anúncios publicitários que lhe aparecem na sua página pessoal, que podem não ser os mesmos que aparecem a outros utilizadores de perfil diferente.
O desenhador de construção civil Nelson Rodrigues, 35 anos, viu há uma semana a sua página de Facebook ser invadida por um estranho. “De repente começaram a aparecer publicações que eram publicidade e os meus amigos eram marcados na imagem”, refere. A sua curiosidade informática levou-o a descobrir que o acesso ao seu computador foi feito através de uma máquina em Almada, distrito de Setúbal. Ele vive no distrito de Leiria.
A segurança das password é, aliás, o que o faz utilizar a sua conta bancária através do computador ligado à internet, mas nunca através da aplicação para o mesmo efeito que tem gravada no seu telemóvel Android. “No site existem mais medidas de proteção do que na aplicação”. Na página de internet, a disposição do teclado virtual muda a cada acesso e a cada operação é exigida uma chave matriz só possível de compor através de um cartão fornecido pelo banco a cada utilizador. Já na aplicação, acede-se apenas com um código e o teclado está sempre igual. Nelson teme que assim possam descobrir os seu código.
“Existem uns bot (robot) na internet que se conseguirem entrar no nosso computador, conseguem saber o que digitamos através do nosso teclado. Tudo o que escrevemos é transferido para um documento e assim é possível saber todas as nossas chaves”, avisa.
Segundo a Microsoft, o “termo bot é uma abreviatura” da palavra robot. “Os criminosos distribuem software malicioso (também conhecido como malware) que pode transformar o seu computador num bot (também chamado zombie). Quando tal acontece, o seu computador pode executar tarefas automatizadas através da Internet, sem o seu conhecimento”. Quem quer infetar um elevado número de computadores utiliza também vários computadores, ou bots, que em rede funcionam como uma Botnet. É através dela que são enviadas mensagens de spam, se disseminam vírus e atacam computadores e servidores para cometer outro tipo de crimes e fraudes.
Em Portugal, há várias leis transpostas de diretivas comunitárias que regulam esta dualidade da privacidade e das comunicações. As principais, como sublinha o advogado Ricardo Henriques, sócio da sociedade de advogados PBBR, são a Lei da Proteção de Dados, a lei da Proteção de Dados mais virada para as Comunicações Eletrónicas e a lei do Cibercrime.
A lei do Cibercrime veio, em 2009, prever a cooperação internacional para identificar crimes como o acesso ilegítimo a um sistema informático ou a sabotagem informática. No entanto, refere Ricardo Henriques, a sua concretização é dificultada pela falta de prova, ou seja, pela dificuldade em localizar e identificar o verdadeiro infrator.
Segundo dados da Direção Geral da Política de Justiça, a que o Observador teve acesso, em 2013 foram condenadas menos de uma pessoa por mês pelo crime de acessos ilegítimo, ou seja, 11 suspeitos foram condenados em 1ª instância com pena de prisão até um ano ou até 120 dias de multa – pena que pode ser agravada até cinco ou oito anos de cadeia conforme a gravidade. Nesse ano, foram abertos 498 inquéritos.
O advogado Ricardo Henriques recomenda que, caso o seu computador seja violado, se queixe à entidade prestadora do serviço – como a Google ou a Apple, dependendo das situações. Depois à polícia, porque pode haver um crime de acesso ilegal à sua conta.
Estando o prestador de serviços no estrangeiro, as autoridades portuguesas não têm, muitas vezes, poderes para intervir. “O prestador de serviços às vezes já tem mecanismos de investigação e chega a emitir comunicados a alertar para a hipótese de outras contas violadas, ou qualquer outro tipo de vulnerabilidade”, refere.
Hugo, um consultor de segurança informática de 33 anos, tem sob sua responsabilidade um parque informático de 18 mil computadores de uma empresa do ramo financeiro. É um dos responsáveis pela manutenção da componente de antivírus.
O sistema está provido de mecanismos que avaliam o tráfego, ou seja, o acesso às páginas de internet da instituição, e que emitem alertas consoante a gravidade da informação transmitida. “São imediatamente bloqueados. Outros são posteriormente analisados pelos elementos das equipas internas responsáveis pela manutenção da segurança informática”, explica Hugo, que prefere ser identificado apenas pelo primeiro nome.
A maior parte dos ataques às empresas ” são tentativas de negação de serviço”. Ou seja, sobrecarrega-se de tal forma o acesso a uma página que o utilizador normal não pode aceder, podendo causar vários prejuízos à empresa. É o que acontece quando entra num site e ele não está disponível por causa de um qualquer erro. Há ainda situações em que se percebe que são “hackers” à procura de “vulnerabilidades do sistema” para terem acesso a informação privilegiada. Há ainda o spam, normalmente recebido por e-mail, mas que depende de uma ação do utilizador para que seja propagado no sistema.
Neste site, o digitalattackmap, consegue visualizar ao minuto todos os ataques informáticos que estão a decorrer no mundo.
Tanto Hugo como o advogado Ricardo Henriques são unânimes: as empresas estão cada vez mais a apostar nos seus sistemas de segurança para que os dados que guardam não sejam atacados. Ainda assim, à medida que estes sistemas vão sendo atualizados, também vão sendo descobertas formas de ameaçá-los. O advogado tem-se debruçado nestes casos, apoiando as empresas a contratarem outras para garantia de segurança dos seus dados.
Por outro lado, há casos em que são os próprios utilizadores que se colocam em risco, com palavras passe pouco elaboradas, por exemplo. Mas há falhas de segurança. E em 2014 foram vários os casos relatados, como o ataque à Sony ou imagens de personalidades públicas que voaram do iCloud. Em Portugal, também algumas páginas oficiais foram alvos de ataques. O ataque, que passou pela publicação de números de telefone de vários políticos e de diversos magistrados, em 2014, foi reivindicado pelo grupo “Anónimos Portugal”. Queriam alertar para a vulnerabilidade destas instituições.
Hugo olhou para este ataque como “um bom exemplo da falta de manutenção/atualização do parque informático de uma instituição e da possibilidade/facilidade de exposição de dados privilegiados dos utilizadores”. E deixa conselhos ao utilizador: ter sempre o sistema operativo atualizado, com antivírus, não clicar em links suspeitos e garantir que a página onde estão a inserir os dados é aquela que pretendiam entrar.
Ana, no seu caso, sempre que entra numa página onde lhe pedem dados pessoais, retira-se. Não fornece. Mas nem sempre consegue contornar as tecnologias. “Ao usar o meu cartão multibanco, ao passar numa portagem, eu estou sempre a ser controlada. E não vale a pena desligar o sistema de geolocalização do telemóvel”, diz.
Nelson tem agora uma palavra passe para cada serviço e subscreveu um sistema da Google que lhe pede um código a cada vez que há um acesso às suas contas através de outro computador. Mais cuidados, só se optasse por estar desligado de tudo.
O Dia Europeu da Proteção de Dados, que se assinala a 28 de janeiro, foi criado em 2006 pelo Conselho da Europa. Foi neste dia que foi assinada a Convenção para a Proteção das Pessoas relativamente ao tratamento automatizado de dados caráter pessoal.